目前國內云計算環(huán)境處于快速增長階段，隨著企業(yè)中業(yè)務從傳統(tǒng)到云上的不斷遷移，企業(yè)用戶要管理的不只是傳統(tǒng)架構下的物理機或虛機，還有云主機、容器、微服務等云上業(yè)務，面對這種復雜的異構環(huán)境，管理員無法做到統(tǒng)一的資產可知，風險可見，從而出現(xiàn)很多僵尸資產，以及各類開源平臺/系統(tǒng)/中間件的漏洞頻出等風險，隨著云上業(yè)務資產的增多，可被黑客利用的攻擊面也在持續(xù)擴大，這為企業(yè)用戶對于現(xiàn)網資產安全監(jiān)管治理提出新的挑戰(zhàn)。

安天睿甲主機安全檢測響應系統(tǒng)有效解決方案

安天睿甲主機安全檢測響應系統(tǒng)融合CWPP云工作負載保護平臺理念（以下簡稱睿甲主機安全系統(tǒng)），針對傳統(tǒng)IDC、云上業(yè)務場景中各工作負載的安全防護需求，采用“一個探針集成多種安全能力”架構，提供資產清點、風險發(fā)現(xiàn)、合規(guī)基線、微隔離、入侵檢測、容器安全、威脅獵殺/溯源等多種安全能力，構建綜合安全監(jiān)測、安全分析、快速響應的安全防護平臺。

? 持續(xù)提升云安全的可觀測性

睿甲主機安全系統(tǒng)通過觀測性技術梳理集群資產，實時跟蹤資產運行狀態(tài)，并結合風險發(fā)現(xiàn)、入侵攻擊等安全隱患與安全事件提供資產風險可觀測性能力，幫助用戶快速定位資產風險以及資產風險影響面。通過實時分析資產相關風險事件，結合自研算法與動態(tài)防護能力，自動實現(xiàn)安全防護閉環(huán)與風險預測能力。

圖1 資產概覽圖

? 多維度融合的威脅檢測響應技術

混合云安全面臨許多攻擊面和新的攻擊技術，單靠HIDS、EDR、RASP等檢測技術無法有效應對，同時云工作負載可用于安全部件的算力有限。睿甲主機安全系統(tǒng)采用部分HIPDS技術，通過客戶端負責數(shù)據(jù)采集和上報，管理端集成高性能威脅檢測引擎和威脅情報的方式，融合多維度威脅檢測響應技術（如系統(tǒng)側信息按需采集、日志檢測、RASP、主機WAF等），并內置安天自主研發(fā)的AVL SDK威脅檢測引擎，實現(xiàn)了低客戶端資源占用，同時提高了威脅檢測、研判及響應能力。

圖2 威脅事件溯源攻擊鏈路圖

? 細粒度的零信任能力建設

面對上云業(yè)務的高彈性伸縮、分布式部署、容器化及微服務化應用日趨普遍等特性，睿甲主機安全系統(tǒng)采用基于身份認證的微隔離技術，代替?zhèn)鹘y(tǒng)Iptables來實現(xiàn)云上業(yè)務動態(tài)網絡隔離，從而實現(xiàn)了面向業(yè)務的、進程級的微隔離。此外，針對“精細梳理訪問控制策略耗時長”、“傳統(tǒng)產品熔斷降級等保護容災能力不足”等痛點，睿甲主機安全系統(tǒng)提供了全網業(yè)務流量自動繪制能力，并持續(xù)提升契合業(yè)務的網絡訪問控制策略智能推薦能力，進而幫助用戶零摩擦的實現(xiàn)細粒度的微隔離。

圖3 微隔離業(yè)務網絡訪問關系拓撲圖

安天睿甲主機安全檢測響應系統(tǒng)客戶價值

? 持續(xù)的資產清點和風險評估

從安全視角梳理資產信息以及資產安全狀況，幫助用戶及時發(fā)現(xiàn)風險脆弱點，做到全網主機資產可知、風險可控。

? 實時威脅檢測響應

以自主威脅檢測分析引擎為核心，將惡意代碼、入侵檢測以及快速獵殺技術進行有機結合，實現(xiàn)威脅檢測、攻擊溯源、快速響應處置的安全運營能力。

? 東西向網絡管控

面對快速變化的云上業(yè)務場景，自動梳理全網業(yè)務流量訪問關系，智能推薦契合業(yè)務的網絡訪問控制策略，幫助用戶劃分業(yè)務安全邊界，遏制橫向攻擊移動。

? 統(tǒng)一安全管理

面向傳統(tǒng)IDC、混合云、多云等混合異構場景提供統(tǒng)一安全管理解決方案，降低安全運維復雜性，提升資產管理的統(tǒng)一性和安全策略的一致性。